Reyhane
عضو جدید
سيستم خبره بازرسى امنيت
مقدمه :
مقاله كنوني نشان مي دهد كه با ااستفاده از تكنيك سيستم خبره در روش هاي امنيتي مثل آناليز ريسك ، بازرسي امنيت و تشخيص نفوذگرمي توان به منفعت قابل توجهي دست يافت و مشكلات روش دستي را پوشش داد .هر سازماني كه سياست هاي امنيتي كامپيوتر را پياده سازي مي كند با طيف گسترده اي از تهديد هاي بالقوه مواجه است.تشخيص برخي از انواع تهديدات ميتواند درreal time انجام شود اما تشخيص ساير تهديدات زمان زياد و ابزارهاي پرقدرتي نياز دارد .
دسترسي هاي غير مجاز به دو دسته داخلي و خارجي تقسيم ميشوند . برخورد با تخلفات غير مجاز خارجي بابررسي بايگاني ركوردهاي ورودي و برخورد با تخلفات داخلي با تجزيه و تحليل تلاش هاي انجام شده براي دسترسي به منابع انجام ميشود .
كاربرد AudEs در اتوماتيك كردن روشهاي بازرسي امنيت ميباشد .
RACF ( مجموعه كنترل بر دسترسي به منابع ) گزارشات مربوط به تخلفات را ثبت ميكند و روش هاي نقض امنيت را بدون ***** كردن نمايش ميدهد و بدين شكل حجم عظيمي از داده ها ي بازرسي شده را توليد ميكند .
عدم كارايي بازرسي امنيت RACFدر زمان پاسخ گو يي بالاي آن ( يك سايت با ده ها سيستم : 8ساعت براي يك تيم 2نفره )، دقت پاسخ گويي پايين، ميزان كاغذ توليد شده زياد ( پرينت گزارشات و فرمهاي مختلف )، تكراري بودن كارها و غير مهيج بودن آن ( كه سبب تبديل آن به يك شغل سطح پايين شده است ) و انعطاف پذيري پايين براي انتقال ميان سايت ها ميباشد .
1- دامنه كاربرد اين سيستم خبره :
اين سيستم كمك بزرگي است در شناسايي مواردي كه به صورت بالقوه در سيستم گنجانده ميشوند .چرخه نقض امنيت آن به شكل زير ميباشد :
1- پيدايش
2- تشخيص
3- پيگيري
4- آرشيو
( مورد 2 و 3 اهميت خاصي دارند )
2-1 تشخيص
تشخيص موارد نقض امنيت مستلزم جداسازي توالي اتفاقاتي است كه مطابق الگوهاي خاصي ميباشند .الگوهاي تخلف توسط مشخصه هايي تعيين ميشوند به عنوان مثال :
نوع تخلف : واكنشهاي اوليه و ثانويه نسبت به انواع تخلفات متفاوت است .
نوع كاربر : انواع مختلف كاربران به شكل هاي متفاوتي رفتار ميكنند به عنوان مثال ميزان نقض امنيت كاربران خارجي بسيار بيشتر از كاربران داخلي ميباشد .
مكان كاربر : اين موضوع ميتواند روي تصميمات بازرس مؤثر باشد .
تاريخ و زمان : اين كه در چه زماني از روز ( براي مثال ساعت كاري يا ساعت بعد از كار ) و يا چه روزي ( روز كاري ، آخر هفته ، تعطيلات و ... ) نقض امنيتي ايجاد شود .
تشخيص و بررسي همه اين موارد توسط يك انسان كار مشكلي است و سيستم خبره ميتواند در اين موارد كمك كننده باشد .
بيشتر سيستم هاي خبره كنوني متد سيستمهاي خبره سنتي را هدف گرفته اند . در سيستم خبره سنتي ( مثل سيستم تشخيص پزشكي يا سيستم مشاوره انتخاب نوشيدني ) مشاوره در 2 مرحله انجام ميشود :
1- درخواست از كاربر براي ورود داده
2- تشخيص و يا توصيه
اما تشخيص نقض امنيت در سيستم خبره متشكل از تعداد زيادي تكرار است :
1- در حالي كه ركوردهاي بيشتري وجود دارد :
الف ) همه ركوردها براي يك كاربر را به دست بياور
ب) ركوردها ها را نسبت به هر نوع تخلفي بررسي
2- برو به مرحله 1
3- محاسبه آمار گزارشات
ماهيت تكرار شونده فرايند بازرسي كه مشكل بازرسان انساني نيز ميباشد با بسياري از سيستم هاي خبره مطابقت ندارد . دليل آننگهداري ليستهايي بلند از ركوردهاي پشتيباني نمونه هاي متعدد ميباشد .اين تكرار باعث پيچيدگي مديريت حافظه ( بيشتر سيستم هاي خبره مديريت حافظه كار آمدي ندارند ) در سيستم خبرهميشود AuDES به منظور مقابله با اين مشكل وظايف خود را خارج ار پايگاه دانش اجرا ميكند .
3-1 پيگيري
پيگيري دنباله اي از فعاليتهايي است كه به سرعت بعد از تشخيص رخ ميدهند . بر خلاف تشخيص ، پيگيري نياز به رويكرد فعال تري دارد . به عبارت ديگر بازرس ممكن است مجبور شود اقدامات زير را انجام دهد :
- تماس با متخلف مشكوك
- تماس با مدير متخلف
- هشدار امنيتي
- مطلع كردن صاحبان منابع و ...
به طور خلاصه پيگيري شامل كاغذ بازي( گزارش تخلفات شخصي ، پيگيري هاي انجام شده و ... ) و ارتباطات و اتلاف وقت بيشتري نسبت به تشخيص ميباشد . در صورت استفاده از سيستم خودكار اين زمان ميتواند ذخيره شود .
اگر چه بيشتر سازمان ها رهنمودهايي براي بازرسي امنيت دارند اما اين قوانينهمه جانبه نيست و برخي از جنبه هاي تشخيص و شناسايي بر عهده بازرس گذاشته ميشود ( حتي زماني كه نقض امنيت آشكار ميباشد ، بازرس بايد موجه بودن برخورد با آن را مشخص كند ) . به همين دليل تشخيص موارد تخلف به صورت اتوماتيك ممكن است سودمند نباشد به جاي آن روش مشاوره را ميتوان انتخاب كرد . به اين صورت كه حوادث مشكوك با نشان نقض امنيت قطعي ضبط شده و يا نمايش داده شوند اما قضاوت نهايي و اقدامات مناسب بر عهده بازرس انساني گذاشته شود .
عوامل مهم در توسعه سيستم هاي خبره :
1- سهولت استفاده
2- User interface و امكانات زمان اجرا ي مناسب كه براي كاربران نهايي از اهميت بالايي برخوردار است و با ارائه واسط هاي غني و گرامر آسان به دست مي آيند ( در حالي كه سرعت كاهش مي يابد )
3- امكانات ويرايش
4- سرعت اجرا ي بالا كه براي برنامه نويسان اهميت زيادي دارد .
به طور كلي ميتوان گفت افزايش سرعت اجرا سبب كاهش امكانات زمان اجرا ميشود .
AUDES در تضاد با افزايش سرعت ميباشد. اما عوامل جبران كننده اي مثل سهولت استفاده، تغيير پذيري و انعطاف پذيري و رابط كاربر گسترده سبب افزايش اهميت ملاحظات اجرا ( حداقل براي پياده سازي هاي اوليه ) شده است .
ESE :
محيط سيستم خبره ( ESE = Expert System Environment ) يك ابزار در دسترس است كه براي توسعه Audes توليد شده است .قوانين و دستورات ESE گرامر ساده انگليسي ميباشد كه حتي توسط كساني كه برنامه نويسي نمي كنند قابل درك است .
كاربرد آن درپيش بيني ، تشخيص ، برنامه ريزي و تصميم گيري در حوزه هاي مختلف و فراهم كردن يك رابط گسترده به عملكرد هاي خارجي ( انجام كارهاي معمولي AUDES در خارج از پايگاه دانش )ميباشد .بررسي اتوماتيك خطا و تدوين در زمان ويرايش انجام ميشود .مهمترين ويژگي زمان اجراي آن سهولت پاسخ گويي و دادن اجازه به كاربر براي پرسش در مورد عملكرد سيستم است .
اكتساب دانش :
در اكثر سازمانها روشهاي بازرسي امنيت به صورت دقيق و وسواس گونه اي مستند شده است كه هرنوع تلاش براي نقض امنيت را تحت پوشش قرار ميدهد . بنابراين كمترين ميزان ممكن قضاوت بر عهده بازرسان انساني قرار داده شده است .همه اين موارد پروسه اكتساب دانش را پيچيده تر ميكند .اين اسناد توسط متخصصان امنيتي ماهر( و نه برنامه نويسان ماهر ) نوشته شده است .اين مورد سبب شده است تا بعضي موارد نقض امنيت كه توسط يك برنامه ميتواند پوشش داده شود به خوبي شناخته نشود .
نسخه فعلي :
در حال حاضر سيستم Audes تمامي توابع مربوط به تشخيص تخلف را ثبت ميكند .
قوانين بازرسي RACF و روش هاي انجام آن در پايگاه دانش بيان مي شود .
25 نوع رويداد وجود دارد كه توسط RACF قابل شناسايي و ثبت ميباشند كه محدوده آنها از ركوردهاي ورودي تا تغييرات وارده به خود RACF ميباشد .هر رويداد داراي 3 تا 8 شناسه ( كد بازگشتي ) است .
در كل 89 حالت مجزا وجود دارد كه AUDES آن ها را به 4 دسته تقسيم مي كند :
1- ورودي : تلاشهاي ناموفق براي ورود مثل رمز وارد شده نامعتبر
2- منبع : تلاشهاي ناموفق براي تغييرامنابع : دسترسي ، تغغيير نام ، حذف
3- فرماندهي : تلاش هايي براي انتخاب و يا محدود كردن اجراي دستورات به عنوان مثال دستورات مختلف RACF
4- تركيبي از موارد بالا : زماني رخ ميدهد هيچ يك از نقض هاي فوق شناسايي نشوند.پس اين نقض جديد ميتواند تركيبي از چند مورد باشد .
تقسيم بندي كاربران توسط RACF :
1- معمولي : اكثريت كاربران را تشكيل ميدهد.
2- ويژه : كساني هستند كه بالاترين درجه امنيت را دارا هستند.مثل مديران امنيتي سايت و به آنها يك كارت سفيد ( به معناي داشتن اختيار تام ) مجازي داده شده است .
3- كاركنان : برنامه نويسان سيستم هستند با توانايي محدود براي ايجاد تغيير در RACF
4- بازرسان : با مجوز دسترسي به گزارش فعاليت ها و استفاده از گزارشات RACF
تقسيم بندي كاربران توسط AUDES :
پشتيباني از تقسيم بندي RACF و تقسيم كاربران به 2 قسمت
1- داخلي ( كارمندان IBM )
2- خارجي ( مشتريان ، فروشندگان ،پيمانكاران و انواع ديگر كاربران خارجي )
براي هر دسته ، انواع تخلفات مجزايي در نظر گرفته ميشود .
يك نمونه از قوانين ESE كه Audes از آن براي تشخيص نقض امنيت استفاده ميكند :
( ميزان نقض امنيتي منابع < آستانه قابل پذيرش منابع ) IF
( نوع كاربر مشتري باشد ) AND
( نوع منبع داخلي باشد ) AND
THEN
(عمل توصيه شده = ارتباط با صاحب منبع و گزارش موضوع به مراقب مشتريان )
انعطاف پذيري
AUDES ميتواند به راحتي با احتياجات سايت هاي شخصي منطبق شود .اين كار به كمك چندين (PROFILE ) مشاوره و اطلاع رساني در مورد عملكرد Audes امكان پذير است. اين پروفايل ها توسط مديران امنيت سايت و به كمك پايگاه دانش تفكيك شده (AudINIT ) ساخته شده اند.
AudINIT ها كاربران را مرحله به مرحله در فرآيند پردازش همراهي ميكنند و به اين شكل ميتوانند پارامترهاي پردازشه مختلف را از لحاظ داشتن نقض امنيتي چك كنند .
محتويات پروفايل سايت ممكن است شامل اطلاعات مخصوص سايت باشد مثل :
سيستم هاي تحت كنترل سايت
كاربران مجاز به استفاده از AUDES : بازرسان
كاربران ممتاز : كارمندان و كاربران ويژه
اخبار متناوب RACF از سايت
تعيين چگونگي تشخيص تخلفات توسط Audes در اين پروفايل ها :
هر نوع تخلفي ميتواند روشن يا خاموش باشد ( نظارت شود يا ناديده گرفته شود )
هم سايت و هم پروفايلهاي انتخاب رويداد به ندرت تغيير داده ميشوند ( اصلاح ميشوند ) .در نهايت پروفايل زمان اجرا پارامترهاي اجرايي مختلف AUDES را تنظيم ميكند .تعيين حالت اجرا ( تعاملي بودن يا نبودن ) ، چاپ شدن و يا چاپ نشدن تخلفات مشكوك و مجزا كردن ليست گزارشات بازرسي هاي انجام شده در اين بخش انجام ميشود . اين پروفايل ميتواند در هر زمان لازم توسط بازرسان براي انعطاف پذيري لازم تغيير كند .
منابع :
[1] R. C. Summers and S. A. KurzbanPotential Application of Knowledge-based Methods to Computer
Security, Computers & Security Journal, vol. 7, August 1988
[2] IBM CorporationExpert System Environment, General Information Manual, GH20-9597
[3] IBM CorporationResource Access Control Facility, General Information Manual, GC28-0722
[4] J. P. AndersonComputer Security Threat Monitoring and Surveillance, James P. Anderson Co
Fort Washington, Pa., April 1980
[5] D. E. DenningAn Intrusion-Detection Model, IEEE Transactions on Software Engineering
__________________
منبع اين مطلب
مقدمه :
مقاله كنوني نشان مي دهد كه با ااستفاده از تكنيك سيستم خبره در روش هاي امنيتي مثل آناليز ريسك ، بازرسي امنيت و تشخيص نفوذگرمي توان به منفعت قابل توجهي دست يافت و مشكلات روش دستي را پوشش داد .هر سازماني كه سياست هاي امنيتي كامپيوتر را پياده سازي مي كند با طيف گسترده اي از تهديد هاي بالقوه مواجه است.تشخيص برخي از انواع تهديدات ميتواند درreal time انجام شود اما تشخيص ساير تهديدات زمان زياد و ابزارهاي پرقدرتي نياز دارد .
دسترسي هاي غير مجاز به دو دسته داخلي و خارجي تقسيم ميشوند . برخورد با تخلفات غير مجاز خارجي بابررسي بايگاني ركوردهاي ورودي و برخورد با تخلفات داخلي با تجزيه و تحليل تلاش هاي انجام شده براي دسترسي به منابع انجام ميشود .
كاربرد AudEs در اتوماتيك كردن روشهاي بازرسي امنيت ميباشد .
RACF ( مجموعه كنترل بر دسترسي به منابع ) گزارشات مربوط به تخلفات را ثبت ميكند و روش هاي نقض امنيت را بدون ***** كردن نمايش ميدهد و بدين شكل حجم عظيمي از داده ها ي بازرسي شده را توليد ميكند .
عدم كارايي بازرسي امنيت RACFدر زمان پاسخ گو يي بالاي آن ( يك سايت با ده ها سيستم : 8ساعت براي يك تيم 2نفره )، دقت پاسخ گويي پايين، ميزان كاغذ توليد شده زياد ( پرينت گزارشات و فرمهاي مختلف )، تكراري بودن كارها و غير مهيج بودن آن ( كه سبب تبديل آن به يك شغل سطح پايين شده است ) و انعطاف پذيري پايين براي انتقال ميان سايت ها ميباشد .
1- دامنه كاربرد اين سيستم خبره :
اين سيستم كمك بزرگي است در شناسايي مواردي كه به صورت بالقوه در سيستم گنجانده ميشوند .چرخه نقض امنيت آن به شكل زير ميباشد :
1- پيدايش
2- تشخيص
3- پيگيري
4- آرشيو
( مورد 2 و 3 اهميت خاصي دارند )
2-1 تشخيص
تشخيص موارد نقض امنيت مستلزم جداسازي توالي اتفاقاتي است كه مطابق الگوهاي خاصي ميباشند .الگوهاي تخلف توسط مشخصه هايي تعيين ميشوند به عنوان مثال :
نوع تخلف : واكنشهاي اوليه و ثانويه نسبت به انواع تخلفات متفاوت است .
نوع كاربر : انواع مختلف كاربران به شكل هاي متفاوتي رفتار ميكنند به عنوان مثال ميزان نقض امنيت كاربران خارجي بسيار بيشتر از كاربران داخلي ميباشد .
مكان كاربر : اين موضوع ميتواند روي تصميمات بازرس مؤثر باشد .
تاريخ و زمان : اين كه در چه زماني از روز ( براي مثال ساعت كاري يا ساعت بعد از كار ) و يا چه روزي ( روز كاري ، آخر هفته ، تعطيلات و ... ) نقض امنيتي ايجاد شود .
تشخيص و بررسي همه اين موارد توسط يك انسان كار مشكلي است و سيستم خبره ميتواند در اين موارد كمك كننده باشد .
بيشتر سيستم هاي خبره كنوني متد سيستمهاي خبره سنتي را هدف گرفته اند . در سيستم خبره سنتي ( مثل سيستم تشخيص پزشكي يا سيستم مشاوره انتخاب نوشيدني ) مشاوره در 2 مرحله انجام ميشود :
1- درخواست از كاربر براي ورود داده
2- تشخيص و يا توصيه
اما تشخيص نقض امنيت در سيستم خبره متشكل از تعداد زيادي تكرار است :
1- در حالي كه ركوردهاي بيشتري وجود دارد :
الف ) همه ركوردها براي يك كاربر را به دست بياور
ب) ركوردها ها را نسبت به هر نوع تخلفي بررسي
2- برو به مرحله 1
3- محاسبه آمار گزارشات
ماهيت تكرار شونده فرايند بازرسي كه مشكل بازرسان انساني نيز ميباشد با بسياري از سيستم هاي خبره مطابقت ندارد . دليل آننگهداري ليستهايي بلند از ركوردهاي پشتيباني نمونه هاي متعدد ميباشد .اين تكرار باعث پيچيدگي مديريت حافظه ( بيشتر سيستم هاي خبره مديريت حافظه كار آمدي ندارند ) در سيستم خبرهميشود AuDES به منظور مقابله با اين مشكل وظايف خود را خارج ار پايگاه دانش اجرا ميكند .
3-1 پيگيري
پيگيري دنباله اي از فعاليتهايي است كه به سرعت بعد از تشخيص رخ ميدهند . بر خلاف تشخيص ، پيگيري نياز به رويكرد فعال تري دارد . به عبارت ديگر بازرس ممكن است مجبور شود اقدامات زير را انجام دهد :
- تماس با متخلف مشكوك
- تماس با مدير متخلف
- هشدار امنيتي
- مطلع كردن صاحبان منابع و ...
به طور خلاصه پيگيري شامل كاغذ بازي( گزارش تخلفات شخصي ، پيگيري هاي انجام شده و ... ) و ارتباطات و اتلاف وقت بيشتري نسبت به تشخيص ميباشد . در صورت استفاده از سيستم خودكار اين زمان ميتواند ذخيره شود .
اگر چه بيشتر سازمان ها رهنمودهايي براي بازرسي امنيت دارند اما اين قوانينهمه جانبه نيست و برخي از جنبه هاي تشخيص و شناسايي بر عهده بازرس گذاشته ميشود ( حتي زماني كه نقض امنيت آشكار ميباشد ، بازرس بايد موجه بودن برخورد با آن را مشخص كند ) . به همين دليل تشخيص موارد تخلف به صورت اتوماتيك ممكن است سودمند نباشد به جاي آن روش مشاوره را ميتوان انتخاب كرد . به اين صورت كه حوادث مشكوك با نشان نقض امنيت قطعي ضبط شده و يا نمايش داده شوند اما قضاوت نهايي و اقدامات مناسب بر عهده بازرس انساني گذاشته شود .
عوامل مهم در توسعه سيستم هاي خبره :
1- سهولت استفاده
2- User interface و امكانات زمان اجرا ي مناسب كه براي كاربران نهايي از اهميت بالايي برخوردار است و با ارائه واسط هاي غني و گرامر آسان به دست مي آيند ( در حالي كه سرعت كاهش مي يابد )
3- امكانات ويرايش
4- سرعت اجرا ي بالا كه براي برنامه نويسان اهميت زيادي دارد .
به طور كلي ميتوان گفت افزايش سرعت اجرا سبب كاهش امكانات زمان اجرا ميشود .
AUDES در تضاد با افزايش سرعت ميباشد. اما عوامل جبران كننده اي مثل سهولت استفاده، تغيير پذيري و انعطاف پذيري و رابط كاربر گسترده سبب افزايش اهميت ملاحظات اجرا ( حداقل براي پياده سازي هاي اوليه ) شده است .
ESE :
محيط سيستم خبره ( ESE = Expert System Environment ) يك ابزار در دسترس است كه براي توسعه Audes توليد شده است .قوانين و دستورات ESE گرامر ساده انگليسي ميباشد كه حتي توسط كساني كه برنامه نويسي نمي كنند قابل درك است .
كاربرد آن درپيش بيني ، تشخيص ، برنامه ريزي و تصميم گيري در حوزه هاي مختلف و فراهم كردن يك رابط گسترده به عملكرد هاي خارجي ( انجام كارهاي معمولي AUDES در خارج از پايگاه دانش )ميباشد .بررسي اتوماتيك خطا و تدوين در زمان ويرايش انجام ميشود .مهمترين ويژگي زمان اجراي آن سهولت پاسخ گويي و دادن اجازه به كاربر براي پرسش در مورد عملكرد سيستم است .
اكتساب دانش :
در اكثر سازمانها روشهاي بازرسي امنيت به صورت دقيق و وسواس گونه اي مستند شده است كه هرنوع تلاش براي نقض امنيت را تحت پوشش قرار ميدهد . بنابراين كمترين ميزان ممكن قضاوت بر عهده بازرسان انساني قرار داده شده است .همه اين موارد پروسه اكتساب دانش را پيچيده تر ميكند .اين اسناد توسط متخصصان امنيتي ماهر( و نه برنامه نويسان ماهر ) نوشته شده است .اين مورد سبب شده است تا بعضي موارد نقض امنيت كه توسط يك برنامه ميتواند پوشش داده شود به خوبي شناخته نشود .
نسخه فعلي :
در حال حاضر سيستم Audes تمامي توابع مربوط به تشخيص تخلف را ثبت ميكند .
قوانين بازرسي RACF و روش هاي انجام آن در پايگاه دانش بيان مي شود .
25 نوع رويداد وجود دارد كه توسط RACF قابل شناسايي و ثبت ميباشند كه محدوده آنها از ركوردهاي ورودي تا تغييرات وارده به خود RACF ميباشد .هر رويداد داراي 3 تا 8 شناسه ( كد بازگشتي ) است .
در كل 89 حالت مجزا وجود دارد كه AUDES آن ها را به 4 دسته تقسيم مي كند :
1- ورودي : تلاشهاي ناموفق براي ورود مثل رمز وارد شده نامعتبر
2- منبع : تلاشهاي ناموفق براي تغييرامنابع : دسترسي ، تغغيير نام ، حذف
3- فرماندهي : تلاش هايي براي انتخاب و يا محدود كردن اجراي دستورات به عنوان مثال دستورات مختلف RACF
4- تركيبي از موارد بالا : زماني رخ ميدهد هيچ يك از نقض هاي فوق شناسايي نشوند.پس اين نقض جديد ميتواند تركيبي از چند مورد باشد .
تقسيم بندي كاربران توسط RACF :
1- معمولي : اكثريت كاربران را تشكيل ميدهد.
2- ويژه : كساني هستند كه بالاترين درجه امنيت را دارا هستند.مثل مديران امنيتي سايت و به آنها يك كارت سفيد ( به معناي داشتن اختيار تام ) مجازي داده شده است .
3- كاركنان : برنامه نويسان سيستم هستند با توانايي محدود براي ايجاد تغيير در RACF
4- بازرسان : با مجوز دسترسي به گزارش فعاليت ها و استفاده از گزارشات RACF
تقسيم بندي كاربران توسط AUDES :
پشتيباني از تقسيم بندي RACF و تقسيم كاربران به 2 قسمت
1- داخلي ( كارمندان IBM )
2- خارجي ( مشتريان ، فروشندگان ،پيمانكاران و انواع ديگر كاربران خارجي )
براي هر دسته ، انواع تخلفات مجزايي در نظر گرفته ميشود .
يك نمونه از قوانين ESE كه Audes از آن براي تشخيص نقض امنيت استفاده ميكند :
( ميزان نقض امنيتي منابع < آستانه قابل پذيرش منابع ) IF
( نوع كاربر مشتري باشد ) AND
( نوع منبع داخلي باشد ) AND
THEN
(عمل توصيه شده = ارتباط با صاحب منبع و گزارش موضوع به مراقب مشتريان )
انعطاف پذيري
AUDES ميتواند به راحتي با احتياجات سايت هاي شخصي منطبق شود .اين كار به كمك چندين (PROFILE ) مشاوره و اطلاع رساني در مورد عملكرد Audes امكان پذير است. اين پروفايل ها توسط مديران امنيت سايت و به كمك پايگاه دانش تفكيك شده (AudINIT ) ساخته شده اند.
AudINIT ها كاربران را مرحله به مرحله در فرآيند پردازش همراهي ميكنند و به اين شكل ميتوانند پارامترهاي پردازشه مختلف را از لحاظ داشتن نقض امنيتي چك كنند .
محتويات پروفايل سايت ممكن است شامل اطلاعات مخصوص سايت باشد مثل :
سيستم هاي تحت كنترل سايت
كاربران مجاز به استفاده از AUDES : بازرسان
كاربران ممتاز : كارمندان و كاربران ويژه
اخبار متناوب RACF از سايت
تعيين چگونگي تشخيص تخلفات توسط Audes در اين پروفايل ها :
هر نوع تخلفي ميتواند روشن يا خاموش باشد ( نظارت شود يا ناديده گرفته شود )
هم سايت و هم پروفايلهاي انتخاب رويداد به ندرت تغيير داده ميشوند ( اصلاح ميشوند ) .در نهايت پروفايل زمان اجرا پارامترهاي اجرايي مختلف AUDES را تنظيم ميكند .تعيين حالت اجرا ( تعاملي بودن يا نبودن ) ، چاپ شدن و يا چاپ نشدن تخلفات مشكوك و مجزا كردن ليست گزارشات بازرسي هاي انجام شده در اين بخش انجام ميشود . اين پروفايل ميتواند در هر زمان لازم توسط بازرسان براي انعطاف پذيري لازم تغيير كند .
منابع :
[1] R. C. Summers and S. A. KurzbanPotential Application of Knowledge-based Methods to Computer
Security, Computers & Security Journal, vol. 7, August 1988
[2] IBM CorporationExpert System Environment, General Information Manual, GH20-9597
[3] IBM CorporationResource Access Control Facility, General Information Manual, GC28-0722
[4] J. P. AndersonComputer Security Threat Monitoring and Surveillance, James P. Anderson Co
Fort Washington, Pa., April 1980
[5] D. E. DenningAn Intrusion-Detection Model, IEEE Transactions on Software Engineering
__________________
منبع اين مطلب
کد:
[URL]http://artificial.ir/intelligence/forum32.html[/URL]
